Multiples vulnérabilités dans Memcached

Date de publication : 27/05/2020

De multiples vulnérabilités ont été découvertes dans Memcached, un système de gestion de mémoire cache. Un attaquant distant exploitant cette vulnérabilité peut causer un déni de service, ainsi qu’obtenir des informations potentiellement sensibles contenues en mémoire.

CVE-2019-11596 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déréférencement de pointeur nul a été découverte dans Memcached. Un attaquant distant exploitant cette vulnérabilité peut causer un déni de service via l’envoi d’un message spécialement conçu au programme.

CVE-2019-15026 [Score CVSS v3 : 7.5] : Une vulnérabilité de type lecture hors-limites a été découverte dans Memcached. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations potentiellement sensibles contenues en mémoire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service
Fuite d’informations sensibles

Criticité

Score CVSS v3 : 7.5

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

CVE-2019-11596 : Memcached jusqu’à la version 1.5.14 (incluse)
CVE-2019-15026 : Memcached version 1.5.16

CVE

CVE-2019-11596
CVE-2019-15026

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Memcached vers une version non-vulnérable (voir la section “composants vulnérables”)

Solution de contournement

Aucune solution de contournement n’est disponible

Liens

openSUSE-SU-2020:0721-1: moderate: Security update for memcached